评估互联网翻墙工具应考虑的十大问题
罗杰•丁高戴恩,Tor项目负责人 (译者注:本文翻译转自《中国人权论坛》)
当越来越多国家对使用互联网进行镇压时,世界各地的人们正转而寻找反审查软件,以使他们能够进入被屏蔽的网 站。这类软件也被称为翻墙工具,是为了应付对网络自由的威胁才被创造出来的。这些工具拥有不同特点,具有不同程度的安全性能。对用户来说,了解使用这些软 件的优缺点十分重要。
本文提出十个在你评估一种翻墙工具时应该考虑的问题。我们的目的并不是为了推崇某一种软件,而是为了告诉你在不同情况下什么样的工具更有用。提出这些问题的顺序先后主要根据叙述的需要;所以,并不是首先提到的问题就是最重要的。
用於互联网的翻墙软件,包含两个组件:中继组件和发现组件。中继组件建立与主机或代理服务器的联系,进行加密处理和传输数据;发现组件要做的则是在此之前的步骤—寻找一个或多个可访问地址的过程。
有些工具只有一个简单的中继组件。比如,假定你正在使用一个开放代理服务器,使用过程是很直接的:设置你的 网络浏览器或其他软件,以使用代理服务器。对使用开放代理服务器的人来说一个较大的挑战是找到一个可靠、快速的开放代理服务器。另外,有些工具有非常复杂 的中继组件,由多个代理服务器、多层加密组成,等等。
首先要告知的是:我是Tor第二代「洋葱路由」软件的发明人和开发者。Tor主要用於保护隐私和翻墙。虽然根据我所选择的问题在这里显示了我对像 Tor这样的更安全的工具的偏爱(即我提出的问题突显了Tor的优点;而这些问题是其他的工具开发者可能并不在意的),但我也试图将其他软件开发者认为重要的问题包括在内。
一、用户多元化
当你评判一个翻墙工具时你会问的一个最简单问题就是:还有谁在用它?使用者的多元性意味着如果有人发现你正使用这一软件,他们将无法确定你用它的原因。安装了一个像Tor这样的保护隐私的工具——在全世界有许多不同阶层的使用者(从普通民众和人权活跃人士,到企业、执法部门和军方)——这个事实并不会让别人获得更多有关你是谁或你可能会访问哪些网站的信息。另一方面,设想一下一组伊朗博客使用只为他们设计的翻墙工具,那么当任何人发现他们中有人使用这一软件时,就很容易猜出使用它的目的。
除了技术上的特点,也就是使某种工具在一个国家对一些人很有用,或对世界上所有人都有用之外,市场营销扮演 着一个重要角色。许多工具是通过口耳相传普及的,如果第一批用户在越南,他们发现这个工具好用,那么下一批用户很可能仍在越南。一种工具被翻译成某种语言 或没有被翻译成某种语言,也会对其可能吸引的用户起引导或阻碍作用。
二、本地适用
下一个需要考虑的问题是这一工具是否人为地限制了在哪些国家可以使用它。几年来,商业性网站Anonymizer.com在伊朗一直是免费使用的。所以该网站准予连接的要么是付费的消费者(大部分在美国),要么是在伊朗的为了规避政府审查的使用者。
最近的例子是Your Freedom只允许像缅甸这样一小部分国家免费使用,像「自由门」和「无界浏览」这样的系统也只在少数他们愿意 提供服务的国家(中国,无界浏览则在伊朗)提供免费连接,在其他国家则完全不行。一方面从宽带成本的角度考虑,这一策略是有道理的;但另一方面,如果你在 沙特阿拉伯,需要翻墙工具,一些有用的工具可能就不在你可选择的範围之内。
三、可持续性网络和软件开发
如果你准备花时间弄清楚怎样使用某种工具,你想确定的是这种工具是不是会存在一段时间。这里有三种可以确定不同的工具能否长期存在的方法:利用志愿者、能否赢利、从赞助商获得资金。
像Tor这样的网络是依靠志愿者提供中继才形成网络的。全世界数千位有良好网络连接的志愿者,他们想帮助世界变得更美好。通过把他们连接成一个巨大的网络,Tor确保了这个网络独立於编写这软件的公司,因此即便Tor这个项目作为一个实体已经消失,这个网络仍将继续存在。「赛风」(Psiphon)走的是第二条路:收服务费。他们的理由是,如果他们可以使公司赢利,那么公司将有能力在此基础上建立一个网络。第三条路是依靠赞助者来付带宽费。Java 匿名代理(Java Anon Proxy)或是JAP项目依靠政府拨款资助其宽带;现在政府拨款已经停止,他们正在了解收费赢利的办法。「极境网络」(Ultrareach)和「自由门」(Freegate)采用的「赞助者」模式效果不错,不过他们一直在寻找更多赞助者以使他们的网络可以继续操作下去。
在解答了一个网络怎样才能长期生存下去的问题之后,接下来的问题就是软件本身的可持续性。上面说到的三种方法同样适用於此,但是例子不同。虽然 Tor的网络是由志愿者来操作的,但是Tor作为软件本身靠的是赞助者(政府和非政府组织)来资助软件的新功能和软件的维护。而「极境网络」和「自由门」,在软件更新方面的可持续性更强:他们在世界各地有一支团队,大部分是志愿者,确保他们的工具永远比政府的审查走前一步。
这三种方法各有优点,但是加深理解某种工具采用的方法,可以帮助你预测未来你可能会碰到什么样的问题。
四、开放式设计
要做到工具软件及其设计透明并有可复用性,首先必须根据开源许可(不仅是客户方面的软件,而且还有服务器方 面的软件)来发布软件。开源许可,即使用者可对软件进行检验,看它如何操作,并且有权对应用程式加以修改。虽然并非人人都得益於这样的机会(许多人只想使 用工具现有的功能),但实际上有的使用者可以使之更加安全和有用。没有这一选择,你等於被迫相信少数软件开发者已经考虑到并解决了所有可能发生的问题。
仅仅拥有开源许可是不够的。可靠的翻墙工具需要提供其他安全专家可资使用的清楚完整的文件——不 仅有关其如何设计,而且有关其特点,以及开发者所要实现的目标。他们准备提供隐私保护吗?他们准备应对攻击性的审查吗?他们准备抵抗什么样的攻击?为什么 他们的工具能够抵抗这样的攻击?如果看不到源代码和了解开发者的目的,就很难决定这一工具是否存在安全问题,或是很难评估其能否达到其目标。
在密码学领域里,科克豪福斯(Kerckhoffs) 原则要检验的是你所设计的系统应该使你要保密的範围尽可能小和容易理解。这就是为什么在加密算法中有密钥(其秘密部分),而其馀部分则可对任何人公开解 释。历史上,任何加密设计如果其中的秘密部分过多,最后的结果一定比设计者设想的更不安全。相似情况也适用於翻墙工具的秘密设计,唯一能对该软件进行检验 的人是该软件的开发者和伤害它的攻击者,其他有助於使它更好更可持续的开发者和使用者却都被排除在外了。
设计某一项目的想法可以被重复使用从而超出这一项目本身的寿命。有太多的翻墙工具对自己的设计加以保密,希望政府审查时难以发现其系统如何运作,但这样做的结果是各种项目之间无法相互学习,翻墙工具的发展领域作为一个整体进展缓慢。五、分布式结构
对翻墙工具另一个需要了解的特点是它的网络是集中式的还是分布式的。集中式的工具将其使用者的发出的所有要求通过一个或几个工具操作者控制的主机来回答。而一个分布式的设计,如Tor或JAP,则通过多个不同地点传输数据。因此,就不存在可以看到每个使用者正进入哪个网站的单一地点或统一体。
另一观察这种区别的角度基於你的信任是集中式的还是分布式的。如果你将所有信任全部放在一个实体上,那么你能期望的最好情况就是「以政策保护隐私」 ——即,他们虽然拥有你的所有数据,但他们保证不去看,也不会丢失或转卖你的数据。另一个方式就是安大略保护隐私委员会所呼吁的「以设计保护隐私」——即系统设计本身确保使用者的隐私得到保护。这种设计的开放性让每个人评估设计所提供的对隐私的保护程度。
这一关切并非仅为假设。2009年初,伯克曼中心的哈尔•罗伯兹在一个翻墙工具网站的常见问答中发现这一工具在推销其用户「点击记录」(clicklogs)。后来,我跟另一翻墙工具提供商聊天,他说,他们拥有所有对其系统提出的使用要求记录,「因为你永远不知道什么时候你可能会需要他们。」
我在这里隐去了这些工具的名称,因为重要的不是这些工具提供商可能使用了用户的资料,而是任何以集中化信任 架构为基础建立起来的工具都能够使用其用户的资料,而这是用户无法知道的事情。糟糕的是,即使工具提供商并无恶意,但实际上所有数据通过一个地方,便使这 个地方成了攻击者前来窥探的具吸引力的目标。
许多这类工具把翻墙与保护用户隐私看作完全互不相连的两个目的。这种分离并不一定是坏事,只要你知道你正处 於怎样的境况。比如,在对信息进行审查的国家中,我们从许多人那里听说,仅仅到一个新闻网上阅读并不会被盯上。但是,正如我们在过去几年里从各方面所了解 到的,巨大的个人信息数据库最终往往比我们希望的更公开。
六、上网安全
隐私问题不仅仅涉及你使用的工具是否能记录你的使用请求,而且还涉及你访问的网站会不会认识或跟踪你。还记 得雅虎交出其一位中国客户信息的事吗?如果一个博客聚合要找出谁正在某个博客上贴文、谁贴了最新评论,或某一位博客到其它网站阅读了什么,那将会怎么样? 使用安全的工具上网意味着网站没有多少信息可以交出去。
一些翻墙工具比另一些更安全,其根本原因在於代理服务器。代理服务器常常将客户地址跟着他们的网络使用请求一起发送出去,因此网站很容易确切地了解使用请求是从哪里来的。从另一个角度来讲,像Tor这样的工具使用客户端浏览器延伸来隐藏你的浏览器版本、语言偏好、浏览器视窗尺寸、时区等等,来隔离你的「小甜点」(Cookies)、过往历史和缓冲,从而可以预防像「快闪」(Flash)这样的插件洩漏你的信息。
但是使用应用程序级的保护是有代价的:一些网站不能正确工作。当更多网站发展到最新「互联网2.0」版本时,这些网站要求浏览器的功能有更大的入侵性。如果要达到最安全的目的,就要解除那些会带来危险的功能。但如果某人在土耳其试图登录YouTube,而Tor为了安全,关闭了他的插件(Flash),那么他的视频就工作不了了。
没有哪个工具可以既安全又好用。赛风(Psiphon)在它的集中化代理服务器上手工评估每个网站和应用程式,改写每一篇网页。他们的改写主要并不是为了保护隐私而是为了确保网页上的所有连接能被导回其代理服务器,但结果是,如果他们没有查到你的目标网站,它可能就不能帮助你了。比如,因为 Facebook首页一直不断变化,赛风为了跟上它也必须跟着不断变化。Tor目前将一些内容关闭了,这些内容也许在实践中是安全的,之所以这样做是因为我们还没有设计出一个好的界面,可以让用户在充分掌握信息的情况下做出决定。其它工具则还是让任何内容通过,他们不太在乎客户被暴露。
七、不承诺能为整个互联网加密
我应该在加密和隐私之间做一区分。大部分翻墙工具将用户与翻墙工具提供商之间的网络数据加密,但像代理服务 器这样非常简单的服务器则不加密。翻墙工具需要加密以规避像中国的防火墙这样的审查机制设置的关键字过滤。但是,如果目标网站不支持加密的话,没有一种工 具可以对工具提供商和目标网站之间的网络数据加密。因此,不存在一种神奇的办法可以为网络数据加密。
对每个人来说,理想的答案是使用安全超文本传输协议(HTTPS) 上网;对每个网站来说,最好都支持安全超文本传输协议的连接。只要你正确使用,安全超文本传输协议会在你的浏览器和网站间提供加密。这种终端对终端的加密 意味着网络上无人(并非指你的互联网服务供应商,互联网主干供应商和翻墙工具提供商)能获得你的通讯内容。但是由於种种原因,扩大加密还没有被完全接受。 如果你的目标网站不支持加密,那么最好的办法是:第一,不要发送可辨识或敏感的信息,如在博客帖子上署真名,或你不希望别人知道的密码;第二,使用无任何 信任瓶颈的翻墙工具。所谓有信任瓶颈的翻墙工具就是,尽管在你已经做到了第一点的情况下,还是会让别人将你和你造访的目标网站联系在一起的工具。
另外,当你必须传送敏感信息时安全问题就变得更为复杂。有人对Tor使 用志愿者操作的这种网络设计表示关切,理由是如果使用集中式设计你至少知道谁在操作基础设施。但实际上不管采取哪种方式都是陌生人在读你的数据,不同点不 过是陌生的志愿者还是陌生的专注於你的人。前者不知道你是谁(他们不会以你为目标),后者的目的就是要获得你的全部流量资料(及你与它的关系)。任何人承 诺绝对安全其实都是在花言巧语地推销东西。
八、快
对於一个翻墙工具下一个你要注意的问题是速度。有些工具总是很快,有些则总是很慢,有些完全无法预测其表现。速度受制於很多因素,包括该系统有多少人使用、用户在做什么、有多大的电脑资源,以及负荷是否均匀地分布在网络上。
「集中化信任设计」有两个优点。第一,他们能看到所有用户以及他们正在做什么,即,他们可以事先将资源均匀 分布,并可减少增加系统负担的行为。第二,在需要的时侯可以购买更多电脑资源。因此,他们付出越多他们的工具速度就越快。而分布式信任设计就不那么容易跟 踪他们的用户。如果他们依靠志愿者提供的资源,那么,相对於集中式付更多宽带费可使速度加快,分布式使用志愿者越多其过程就越复杂速度也就越慢。
工具的性能问题的另一面是灵活性问题。许多系统通过限制其用户功能来确保速度。虽然「赛风」(Psiphon)限制用户造访他们还未经手工检查的网站,但「极境网络」(Ultrareach)和「自由门」(Freegate)实际上已主动对允许用户造访的网站设限。这样他们才能控制他们的宽带费用。相比之下,Tor能够让用户进入任何协议(protocol)和目标网站,即,比如,你也可以发送即时信息;但缺点是网络常常因用户的批量传输而不胜负荷。
九、软件和更新易获得
当某种翻墙工具一出名,其网站就会被屏蔽。如果无从获得这一工具,工具再好又有何用。在这里最好的解决办法 是不要使用任何专门的客户软件。这样就不必从工具网站上下载软件。比如「赛风」,只靠一般的浏览器,就不在乎网站可能被封,因为使用者不需要下载软件。另 一种办法是使用微型应用程式,如「极境网络」或「自由门」,你可以用实时消息的方式将链接传送给朋友。Tor的浏览器套件也是一个选择:套件包括所有已经配置好的所需要的软件。但是,由於它包含了大型应用程式,如火狐(Firefox),因此不容易在网上传递。而通过社会网络、闪存硬盘,或使用电子邮件自动应答系统,则可得以分发。电子邮件自动应答允许你通过谷歌的G-mail来下载Tor。
然后,你需要考虑每一种方法的特点。首先,什么样的操作系统是它可支持的?「赛风」不需要任何额外的客户软件就可以很好工作;「极境网络」和「自由门」都很特别,只能在微软视窗环境中工作;Tor及其软件基本上可以在任何环境中操作。其次,要考虑客户软件可自动处理从一个代理服务器转到另一个的失效备援,所以,如果你目前的地址消失了或被封了,你不必用手工记下新的地址。
最后,你使用的工具是否有跟踪记录功能来对付屏蔽?比如「无界浏览」和「自由门」都曾有当现有版本的工具停止工作时立刻发布更新版本的历史。他们在这种 「猫捉老鼠」的游戏中积累了丰富的经验,因此,有理由相信他们已经为下一轮变故做好了准备。在Tor这方面,也已经为最终可能被屏蔽做好了准备,那就是将其网络通信更精简,看上去更像加密的网页浏览, 并介绍了还未出版的网桥中继(bridge relays)。对黑客来说网桥中继比公共中继(public relays)更难被发现和被屏蔽。Tor试图将软件更新跟代理服务器地址更新这两者区别开——如果你使用的网桥中继被屏蔽了,你可以继续使用同一个软件,只要改变一下配置以使用新的网桥地址。我们的网桥设计2009年9月在中国进行了测试,数万用户顺畅地从使用公共中继转移到使用网桥中继。十、不把自己作为翻墙工具推销
许多翻墙工具通过大量媒体高调推出。媒体当然喜欢这样的做法,他们常常以《美国黑客对中国宣战!》为首页通 栏标题。但这种亮相虽有助於吸引支持(志愿者、利润、赞助商),但大肆宣传也吸引了审查者的注意。审查机构通常屏蔽两类翻墙工具:一类是好用的工具,即拥 有数十万用户的工具;一类是名气很响的工具。一般来说,审查制度屏蔽所有敏感内容的情况很少,更多的情况是制造一种打压的气氛,从而使人们进行自我约束。 媒体上的文章对当局的控制能力造成威胁,他们被迫做出回应。
这里要表明的是我们能够控制武器竞赛的速度。尽管某种工具拥有许多用户,但只要无人谈论它,一般来说就不会被屏蔽。但是如果无人谈论它,用户又从何知道 它?走出这一悖论的方法之一是通过口耳相传和社会网络,而不是通过传统的媒体宣传来传播。另一方法是将工具置於一个不同的背景中——比如,我们主要将 Tor展现为一个保护隐私和公民自由的工具,而不是翻墙工具。但是,一个工具在名声日益增长时要维持这种平衡是很难的。结语
本文解释了一些你在评估翻墙工具的优缺点时应该考虑的问题。我故意没有将不同的工具做成图表及在不同的分类 中对他们进行评分。毫无疑问,有人最终会这样做,并概括出每种工具被打上多少个钩。但是现在的问题并不是要找出「最佳」工具。各种各样的翻墙工具被广泛使 用,增加了所有这类工具的力量,因为审查者必须同时去对付每一个策略。
最后,我们应该记住,技术不能解决所有的问题。防火墙毕竟在许多国家都成功地发挥了作用。只要在审查制度下 仍有很多人说「我很高兴政府使我感到互联网是安全的」,那么就说明社会方面的挑战至少还是非常严重的。但与此同时,在所有这些国家仍然有人希望通过互联网 学习和传播信息,那么一个强大的技术解决方案就仍是至关紧要的一环。
Roger Dingledine is project leader for The Tor Project, a US non-profit working on anonymity research and development for such diverse organizations as the US Navy, the Electronic Frontier Foundation, and Voice of America. In addition to all the hats he wears for Tor, Roger organizes academic conferences on anonymity, speaks at a wide variety of industry and hacker conferences, and also does tutorials on anonymity for national and foreign law enforcement.
This article is licensed under the Creative Commons Attribution 3.0 United States License. Originally prepared for the March 2010 "Index on Censorship", then adapted for the July 2010 "China Rights Forum" (Chinese translation). Last updated 25 May 2010.